Aufgrund der steigenden Anzahl von Cyberattacken haben Unternehmen verstärkt ihre Mitarbeiter bezüglich dem Umgang mit E-Mails und Webseiten sensibilisiert. Datensicherheitstrainings schärfen das Bewusstsein der Anwender und sorgen dafür, dass Onlineinhalten nicht blind vertraut wird oder aktive Elemente nicht einfach nur angeklickt werden.
Was aber, wenn der Angriff so geschickt getarnt ist, dass man ihn praktisch nicht erkennen kann, weil er dieselben Techniken verwendet, die jede unverdächtige Webseite ebenfalls nutzt?
HTML-Smuggling ist eine besonders ausgeklügelte Methode zur Verbreitung von Malware, bei der legitime HTML5- und JavaScript-Funktionen ausgenutzt werden, um einer Erkennung zu entgehen. Dadurch werden Remote Access Trojaner, Banking-Malware oder andere Schadsoftware auf die Zielsysteme verteilt.
Der Angriff umgeht dabei herkömmliche Sicherheitskontrollen wie Web-Proxys, Mail-Gateways und klassisches Sandboxing.
Die Forscher von Securonix Threat Research haben mit „JS#Smuggler“ eine neue, ausgeklügelte, webbasierte Malware-Kampagne identifiziert, die Systeme in einer mehrstufigen Angriffskette infiltriert. Da die meisten Browser JavaScript ausführen, um erweiterte Funktionen von Webseiten zu ermöglichen, wird ein getarnter JavaScript-Loader in eine legitime Website eingeschleust und beim Aufruf der entsprechenden Seite automatisch ausgeführt. Im nächsten Schritt wird über Windows-eigene Mechanismen wie „mshta.exe“ eine HTML Applikation per P(HTA) ausgeführt und danach die Malware per PowerShell-Stager nachgeladen. Schlussendlich befindet sich auf dem Gerät die Software NetSupport RAT, eine alte aber immer noch funktionsfähige Fernwartungssoftware, die dem Angreifer einen praktisch uneingeschränkten und für den Nutzer nahezu unsichtbaren Zugriff auf den infizierten Rechner erlaubt.
Webbasierte Angriffe abwehren
Bei HTML-Schmuggelangriffen erfolgt die Verbreitung per JavaScript, wodurch das Besuchen einer eigentlich unverdächtigen aber heimlich kompromittierten Webseite zur Infektion des lokalen PCs führen kann. Der JavaScript-Code wird automatisch gestartet und setzt den unbemerkten Download der Malware in Gang.
Dies verhindert die Remote Browser Isolation-Technologie, wie etwa Ericom RBI, durch Isolation des lokalen PCs von der aufgerufenen Webseite. Die Script-Ausführung, die Verarbeitung von aktiven Elementen und das gesamte Rendering finden in einem isolierten Container in der Cloud statt. An den Browser des Nutzers wird lediglich ein grafisches Abbild der Internetseite gesendet, das keinen Schadcode mehr enthält. Aufgrund des fehlenden Durchgriffs auf den Endpunkt gibt es keine Angriffsfläche, somit ist eine Infizierung des PCs und Netzwerks ausgeschlossen. Die Cloud-Container werden nach dem Sitzungsende rückstandsfrei zerstört.
Zusätzlich unterstützt RBI auch Geofencing, Website-Kategorisierung sowie die Anwendung entsprechender Policies um bereits vorab zu verhindern, dass Anwender versehentlich auf unerwünschte oder unsichere Seiten gelangen. Ein wirksamer „read only Modus“ verhindert darüber hinaus die Eingabe von Daten in Fake-Formularen
Erweiterter Schutz gegen Kompromittierung
RBI liefert ausschließlich sichere Inhalte an die Endpunkte. Dateitransfers können erlaubt, eingeschränkt oder verboten werden. Eine mehrstufige Überprüfung analysiert den Inhalt von verlinkten Inhalten vor dem Herunterladen und entfernt eventuell vorhandene Malware, Makros oder Exploits, bevor die bereinigte Datei für den Client bereitgestellt wird (Content Disarm and Reconstruction).
Um das Einschleusen von Dateien und Code über die Zwischenablage zu verhindern, kann die Clipboard-Übertragung deaktiviert werden. Dadurch sind Nutzer auch gegen Social-Engineering-Angriffe geschützt, die immer häufiger beobachtet werden. So tarnt sich „ClickFix“ als klassisches Sicherheits-Pop-up das eine vermeintlich notwendige Prüfung vortäuscht. Tatsächlich aber kopiert es einen auf der besuchten Website versteckten Schadcode in die Zwischenablage des Nutzers und fordert dann dazu auf, das Befehlsfenster über Win+R zu öffnen, den Code einzufügen und zu starten. Während der Nutzer glaubt, im Sinne der eigenen Sicherheit zu handeln, infiziert er über die Zwischenablage den Rechner Malware wie Lumma Stealer, QuasarRAT, DarkGate oder NetSupport RAT, die im Hintergrund von einem entfernten Server geladen werden.
Da der Anwender die Infektion selbst auslöst, umgehen ClickFix und Co. die klassischen Sicherheitsmaßnahmen und können über lange Zeit unbemerkt Passworte und Zugangscodes abgreifen, PCs fernsteuern oder weitere Malware einschleusen. Remote Browser Isolation in Verbindung mit deaktiviertem Clipboard schützt Nutzer effektiv vor diesen schwer zu erkennenden Angriffen und nimmt die Angst vor „falschen Klicks“.
Festplattenschutz und Ausführungskontrolle als zusätzliche Helfer
Lokale Lösungen wie Deep Freeze von Faronics frieren den Zustand der Festplatte ein und bilden eine weitere sinnvolle Schutzschicht vor Cyberangriffen. Zwar kann der Schutz die Infektion zur Laufzeit nicht verhindern, aber ein einziger Neustart genügt, um sämtliche Malware inklusive der geladenen Fernzugriff- und Kontrollmodule vollständig zu entfernen und den Computer wieder in den sicheren Originalzustand zu versetzen. Ein positiver Nebeneffekt: Versehentliche oder absichtliche Änderungen an der Konfiguration werden durch den Reboot ebenfalls eliminiert, was den Support entlastet.
Hilfreich können auch Lösungen sein, die nicht zugelassene Prozesse, Anwendungen und Makros blockieren. Faronics Anti-Executable kann beispielsweise so konfiguriert werden, dass die von einer Malware verwendeten Dateien generell gesperrt sind. Da die Prüfung neben dem Dateinamen auch die Prüfsumme und das Dateidatum berücksichtigt, tritt die Blockade selbst bei ansonsten erlaubten Anwendungen in Kraft, wenn sie durch einen Malwareangriff kompromittiert worden sind.
Vorteil: Remote Browser Isolation
Lokale Lösungen wie Festplattenschutz, Antivirus, Prozesskontrolle und Firewall bieten bei entsprechender Konfiguration einen Grundschutz gegen aktuelle webbasierte Bedrohungen.
Der Vorteil einer RBI-Lösung hingegen liegt darin, dass Endpunkt und Nutzer aus dem Schussfeld genommen werden. Die gesamte Web-Session wird nicht mehr lokal, sondern in einem isolierten Container in der Cloud ausgeführt. Endpunkte, das LAN und sensiblen Daten sind somit vollständig vor Cyberangriffen und Datenexfiltration geschützt, weil lediglich ein sicherer, gerenderter Mediastream aus der Cloud an den lokalen Browser gesendet wird.
Quelle: https://www.securonix.com/…
Giritech unterstützt Unternehmen, Bildungsorganisationen, Einrichtungen im Gesundheitswesen/Healthcare und öffentliche Auftraggeber bei der Umsetzung einer durchgängigen Enterprise Mobility- und Security-Strategie. Als Distributor für Hersteller wie Cybele Software, Soliton Systems, WiseMo A/S und Faronics Corp., verfügt Giritech über die notwendige Erfahrung bei der Implementierung vor Ort und remote, leistet Pre- und After-Sales-Support und betreut Endkunden, Reseller und MSPs bei der Auswahl der geeigneten Produkte für spezifische Umgebungen. Das Portfolio umfasst hoch skalierbare, nutzerfreundliche Mobilty- und Zero-Trust-Access-Lösungen (On-Premises und Cloud), die maximale Flexibilität sowie hohe Investitionssicherheit bei niedrigen Lizenz- und Infrastrukturkosten bieten.
JS#Smuggler: Gefahr für Unternehmen und wie Sie sich davor schützen hinzugefügt von Redaktion am
Alle Beiträge von Redaktion →
